推送密码

bpkeyutil命令可以向客户端推送密码文件。密码文件存在于客户端上，是为客户端加密提供算法的。

在windows环境里，密码文件位于VERITAS_DIR\netbackup\var\keyfile.dat。关于这一点，手册中指明的路径是错误的，要注意。

在Unix环境里，密码文件位于/usr/openv/netbackup/keyfile

在5.1文档中，推送密码的命令是bpkeyfile，在6.0文档中，推送密码的命令是bpkeyutil。而其实，5.1也一样是bpkeyutil命令推送密码。bpkeyfile我总是失败，不知道是bug还是其他什么原因。

推送密码的命令

bpkeyutil -client 客户端名

推荐的办法

大部分应用NetBackup加密的用户，都会有非常严格的安保措施，对防火墙的控制也非常严格。而bpkeyutil并不使用bpcd或者vnetd这些端口，具体使用什么端口，在手册中没有说明。即便知道，我们也不得不要求用户多开放一个端口。而一旦密码文件推送成功，这个端口就没有作用了。给用户留下这样一个无用端口，是会引起很多不必要的问题的。

解决的办法其实很简单。我在与主服务器同网段的机器中找了一个客户端，用bpkeyutil命令向其推送密码，密码生成后，将其改名。再推送其他密码文件。他们的区别就是推送时设定的密码。然后将这些密码文件复制到目标客户端的相应位置上，密码文件就算推送完成了。这样就可以完全绕过那个我们不必要知道的端口。

保护密码文件

密码文件是加密备份与恢复所必需的钥匙。一旦被人取道，则很有可能被人非法恢复用户的备份。因此，密码文件的安全性是非常重要的。

在Unix环境中，可以通过修改访问权限的方法来保护。

在Windows环境中，则一定要注意密码文件所在分区的访问权限。

重要警告

密码文件的生成密码是具有历史性的。如果你中途修改过密码文件的密码，那么，你就必须记住包括原先密码在内的所有密码。因为，一旦密码文件遗失，你需要重建密码文件的时候，要根据该密码文件的历史，重新输入所有密码，才能生成对应的密码文件。

保护密码

密码文件的生成依赖于密码。因此，VERITAS建议将密码写在纸上，装入信封，并封入保险柜内。当然，根据用户数据安全级别的不同，我们可以采用很多方法来保护这些密码的秘密，不一定非得这样大动干戈。

欲想了解更多，请阅读：

经验技巧 ：NBU加密备份实施技巧（一）

经验技巧 ：NBU加密备份实施技巧（二）